X-twitter

Kaspersky añade IA a su SIEM para cazar DLL hijacking y refuerza su resiliencia con arquitectura Raft

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

Kaspersky ha actualizado su plataforma Kaspersky SIEM con un paquete de capacidades centradas en detección asistida por inteligencia artificial, integración nativa con sus servicios de Digital Footprint Intelligence (DFI) y Managed Detection and Response (MDR), y mejoras sustanciales en cuadros de mando, reporting y escala. La compañía subraya que el objetivo es doble: elevar la eficacia de detección frente a amenazas persistentes —como el secuestramiento de librerías dinámicas o DLL hijacking— y reducir la carga operativa de los equipos de ciberseguridad.

El movimiento llega tras un año de fuerte presión ofensiva. Según el último informe de analistas del servicio Kaspersky MDR, las amenazas persistentes avanzadas (APT) impactaron en 1 de cada 4 empresas en 2024, un 74 % más que en 2023. En ese contexto, la compañía sostiene que la combinación de detección basada en comportamiento, enriquecimiento con inteligencia y automatización es necesaria para cerrar brechas que las herramientas puramente reactivas ya no cubren.

IA contra DLL hijacking: del indicio a la alerta investigable

La novedad más destacada es un subsistema de IA orientado a detectar signos de sustitución maliciosa de DLL. El mecanismo analiza de forma continua la información de todas las librerías cargadas por procesos legítimos; cuando detecta patrones anómalos compatibles con secuestro de DLL —por ejemplo, cargas desde rutas no esperadas, versiones o firmas incongruentes, o precedencias alteradas en el orden de búsqueda— anota automáticamente el evento para que el SOC lo escale a incidente.

La activación es directa: basta con conectar la regla de enriquecimiento “DLL Hijacking” al collector o al correlator del SIEM. De ese modo, la plataforma añade contexto accionable a cada telemetría relevante (proceso, librería, hash, ruta, usuario, host, hora) y permite diferenciar entre actividad legítima y posibles intentos de ejecución encubierta.

¿Por qué importa?

El DLL hijacking sigue siendo popular entre atacantes porque aprovecha la lógica normal de carga de librerías en Windows. En lugar de introducir binarios ruidosos, el adversario inyecta su código en forma de DLL aparentemente inocua, que acaba siendo cargada por una aplicación confiable. Para los equipos defensivos, identificar este comportamiento en tiempo real y con bajo ruido resulta crítico para cortar cadenas de ataque antes de que escalen privilegios o persistan.

Integración con DFI y MDR: inteligencia y respuesta en el mismo plano

La actualización también integra Kaspersky SIEM con Digital Footprint Intelligence (DFI), lo que aporta visibilidad sobre huellas digitales expuestas de la organización: fugas de cuentas y contraseñas, menciones en fuentes abiertas o espacios clandestinos, y otros indicadores de riesgo externo. Cuando DFI detecta un hallazgo, genera alertas automáticas que entran directamente en el SIEM, donde se correlacionan con eventos internos para priorizar aquellas señales que representan una amenaza material.

Por su parte, la integración con Kaspersky MDR permite importar de forma automática los incidentes gestionados en la consola MDR al motor del SIEM, unificando el ciclo de detección, análisis y respuesta. La promesa operativa es clara: menos pantallas, menos fricción y más contexto compartido para que analistas y cazadores de amenazas reduzcan el MTTR.

UEBA: reglas de comportamiento para cuentas y equipos Windows

El conjunto de mejoras incorpora un paquete de reglas UEBA (User and Entity Behavior Analytics) que vigila autenticaciones, actividad de red y ejecución de procesos en estaciones y servidores Windows. Con estas reglas, el SIEM busca desviaciones respecto a patrones habituales —desde horarios atípicos y orígenes inusuales hasta cambios en el grafo de procesos— que suelen preceder a intrusiones APT, ataques dirigidos o incluso amenazas internas.

La ventaja de UEBA, sostienen desde Kaspersky, es detectar lo sutil: esos cambios graduales que no rompen una firma, pero no encajan con el comportamiento histórico de un usuario, un host o un servicio.

Reporting y dashboards: compartir, versionar y profundizar

En la capa de gobierno, Kaspersky SIEM ahora permite compartir y transferir plantillas de paneles e informes entre instalaciones distintas. Esto homogeneiza criterios entre equipos distribuidos y acelera el despliegue de contenidos oficiales que la compañía actualiza periódicamente.

Además, llegan nuevos widgets de visualización para mostrar tendencias, combinar múltiples gráficas y representar relaciones. Un widget preconfigurado admite consultas refinadas y ofrece navegación con drill-down: desde un panel de alto nivel, el analista puede bajar a un panel específico para desglosar el problema sin perder el hilo.

Alta disponibilidad y escala: núcleo distribuido sobre Raft

Para soportar entornos con altas cargas y exigencia de continuidad, el core del SIEM adopta una arquitectura distribuida basada en Raft. Este enfoque reparte el consenso entre nodos, tolera fallos y facilita la escala horizontal conforme crecen volúmenes de logs, casuísticas y casos de uso. En la práctica, significa menos ventanas de caída, más resiliencia ante picos y una operativa más predecible.

Un vistazo operativo: qué gana el SOC con esta versión

  • Menos ruido, más señal. La anotación automática de eventos de DLL hijacking y la correlación con DFI/MDR elevan el valor medio de cada alerta que llega al analista.
  • Contexto adentro, contexto afuera. El cruce entre lo que ocurre dentro (telemetría del SIEM) y lo que se ve fuera (huella digital de DFI) ayuda a priorizar y cerrar el ciclo de investigación.
  • Gobernanza más sólida. Con paneles compartibles, trazabilidad y reportes versionables, el CISO puede explicar riesgos y demostrar control ante la dirección o auditores.
  • Continuidad y escala. El núcleo Raft hace que crecer no penalice la disponibilidad, algo clave cuando la observabilidad es parte del servicio esencial.

Retos y buenas prácticas: lo que sigue dependiendo del equipo

La tecnología no opera en vacío. Para exprimir estas capacidades, los equipos deberían:

  1. Afinar la telemetría. Asegurar fuentes de logs completas y confiables (EDR, endpoints, AD/IdP, red, perímetro, nube) y estandarizar formatos/tiempos para correlación precisa.
  2. Mantener y versionar reglas. UEBA y detecciones basadas en IA requieren revisión periódica para ajustar umbrales y evitar drift.
  3. Alinear con playbooks de respuesta. Que cada alerta priorizada desencadene acciones: aislamiento, rollback, bloqueo de cuentas, rotación de secretos, etc.
  4. Formación continua. Los analistas necesitan criterios para interpretar anomalías y explicar las decisiones (tanto ante el equipo de riesgos como ante auditoría).

En perspectiva: IA aplicada y resiliencia demostrable

El hilo conductor de esta actualización es aplicar IA donde duele: enriquecer eventos para separar señales de ruido y automatizar los pasos que consumen tiempo sin aportar juicio experto. Combinada con visibilidad de huella digital, ingesta de incidentes MDR, UEBA y un motor tolerante a fallos, la plataforma busca elevar el listón de defensa frente a adversarios que también automatizan y orquestan.

Para las organizaciones que operan en entornos regulados o críticos, la capacidad de demostrar con datos y paneles que se detectan desviaciones, se investigan con trazabilidad y se responde con planes definidos es, cada vez más, parte del valor de negocio.

Preguntas frecuentes

¿Qué es el DLL hijacking y cómo lo detecta Kaspersky SIEM?
El DLL hijacking aprovecha el orden de búsqueda de librerías en Windows para cargar una DLL maliciosa en lugar de la legítima. El SIEM incorpora un subsistema de IA que monitoriza de forma continua las DLL cargadas y anota eventos sospechosos (rutas, firmas, versiones atípicas) para que el SOC los trate como incidentes investigables.

¿Qué aporta la integración con Digital Footprint Intelligence (DFI)?
DFI vigila la huella digital externa de la organización —por ejemplo, fugas de credenciales— y envía hallazgos al SIEM. Esa información se correlaciona con telemetría interna para priorizar riesgos reales y acelerar la respuesta.

¿Cómo se beneficia el SIEM de la integración con Managed Detection and Response (MDR)?
Los incidentes MDR se importan automáticamente al SIEM, unificando detección, análisis y respuesta. El SOC ahorra tiempo al trabajar en un único plano de operación y con contexto compartido.

¿Qué ventajas prácticas ofrecen las nuevas funciones de dashboards y reporting?
Permiten compartir plantillas, versionar contenidos y usar widgets avanzados (tendencias, relaciones, drill-down). Esto mejora la comunicación con negocio y auditoría y facilita medir la resiliencia con indicadores consistentes.

¿Para qué sirve la arquitectura Raft en el core del SIEM?
Raft aporta alta disponibilidad y resiliencia mediante consenso distribuido, lo que garantiza continuidad bajo carga y facilita escalar horizontalmente sin sacrificar operación.

Fuentes consultadas:
Kaspersky — Nota oficial sobre las nuevas capacidades de Kaspersky SIEM (detección de DLL hijacking con IA, integraciones con DFI/MDR, UEBA, mejoras de dashboards y arquitectura basada en Raft).

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Nota de Prensa

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Kaspersky añade IA a su SIEM para cazar DLL hijacking y refuerza su resiliencia con arquitectura Raft

Narvik, el puerto noruego que aspira a ser el nuevo polo europeo de IA: acuerdo de 6,2 mil millones entre Microsoft, Nscale y Aker

Apple vs. la sobrerregulación: cómo el DMA cambia la experiencia en iPhone y qué pierden —o ganan— los usuarios en la UE

Bruselas abre una investigación a SAP por posibles prácticas anticompetitivas en el mercado de mantenimiento de su ERP on-premise

×